Podstawy

W przypadku Linuksa możemy wybierać spośród bardzo szerokiej gamy darmowego oprogramowania mogącego pełnić rolę serwera FTP. Różni się ono możliwościami, poziomem bezpieczeństwa, łatwością obsługi i rodzajem zastosowań. Najczęściej wykorzystywane są ProFTPd, gltftp oraz wu-ftpd. Bez względu na to, który serwer przypadnie nam do gustu warto wiedzieć o kilku podstawowych sprawach związanych z bezpieczeństwem. Poza samą konfiguracją serwera należy ze szczególną uwagą śledzić podatności oraz ewentualne exploity, które dotyczą wykorzystywanego przez nas oprogramowania.

Warto zaglądać do serwisów takich jak www.secunia.com, www.securityfocus.com czy www.securitytracker.com. Luki bezpieczeństwa to nie wszystko. Istotna jest także kwestia poziomu uprawnień, z jakimi uruchamiany jest sam demon FTP. Przeważnie, aby usługa mogła zostać podpięta pod port 21 (lub 21 i 20 w przypadku trybu active) wymagane są prawa administratora systemu - w przypadku Linuksa - roota. Jakie są metody na ograniczenie zagrożeń związanych z wykorzystaniem uprawnień?

Spora część produktów została napisana w taki sposób, aby korzystać z konta root-a tylko wtedy, kiedy jest to niezbędnie konieczne - nie mamy jednak na to wielkiego wpływu, wszystko zależy od implementacji (ProFTPd na przykład uruchamia się z uprawnieniami roota, podpina pod port TCP 21, a następnie "degraduje" swoje prawa do wskazanego w konfiguracji konta np. nobody). Ponadto, niektóre pozwalają na uruchomienie usługi w więzieniu (jail, chroot), co koncepcyjnie zbliżone jest do systemowego chroot-a znanego każdemu linuksiarzowi. Rzecz jasna, nie jest to to samo. Jeżeli mamy odpowiednio dużo samozaparcia, a przy tym także wiedzy możemy pokusić się o zbudowanie systemowego chroot-a, w którym uruchomiona będzie jedynie usługa ftp. Nie jest to jednak banalne i wymaga uwzględnienia min. wszelkich bibliotek wymaganych przez demona.

W środowisku, gdzie bezpieczeństwo ma absolutny priorytet (na pewno nie w przypadku domowego serwera) warto jest poświęcić czas i nerwy. Skoro mowa o samym środowisku. Już po zainstalowaniu i skonfigurowaniu demona ftp można posłużyć się specjalizowanymi aplikacjami, które pomagają w utwardzeniu systemu i podniesieniu ogólnego poziomu bezpieczeństwa - w tym usługi FTP. Znakomitym przykładem jest tutaj projekt Bastile-Linux. Kolejną sprawą, o której wspominaliśmy w części pierwszej, jest sama specyfika ftp-a. Wszystkie informacje są tutaj przesyłane otwartym tekstem - włączając w to login i hasło użytkowników oraz treść przesyłanych danych. Na szczęście deweloperzy dostrzegli ten problem dość dawno temu i większość softu umożliwia skorzystanie z mechanizmów szyfrowania w oparciu o protokoły SSL/TLS. To podstawa. Przejdźmy do rzeczy. Skorzystamy z najpopularniejszego chyba serwera FTP - ProFTPd i zainstalujemy go na systemie CentOS.